Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina wordt beschreven hoe u Azure netwerkbeveiligingsperimeter (NSP) configureert om de toegang van serverloze berekeningen tot uw Azure resources te beheren met behulp van de Azure-portal.
Overzicht van netwerkbeveiligingsperimeter voor Azure resources
Azure netwerkbeveiligingsperimeter (NSP) is een Azure ingebouwde functie waarmee een logische isolatiegrens voor uw PaaS-resources wordt gemaakt. Door resources zoals opslagaccounts of databases te koppelen aan een NSP, kunt u netwerkverkeer centraal beheren met behulp van een vereenvoudigde regelset. NSP elimineert de noodzaak om handmatig complexe lijsten met afzonderlijke IP-adressen of subnet-id's te beheren.
NSP biedt ondersteuning voor toegang vanaf serverloze SQL-warehouses, taken, notebooks, Lakeflow Spark Declarative Pipelines en endpoints voor het serveren van modellen.
Belangrijkste voordelen
Het gebruik van NSP voor Azure Databricks serverloos uitgaand verkeer verbetert uw beveiligingspostuur en vermindert de operationele overhead aanzienlijk:
| Voordeel | Description |
|---|---|
| Kostenbesparingen | Verkeer dat via service-eindpunten wordt verzonden, blijft op de Azure backbone en brengt geen kosten voor gegevensverwerking in rekening. |
| Vereenvoudigd beheer | Azure Databricks raadt u aan om een regionale servicetag te gebruiken om de toegang tot een specifieke regio te beperken, bijvoorbeeld AzureDatabricksServerless.EastUS2. De tag bevat zowel IP-adressen van service-eindpunten als Azure Databricks NAT-IP's, en alle communicatie wordt gerouteerd via de Azure backbone. Als u toegang wilt toestaan in alle Azure Databricks regio's, gebruikt u in plaats daarvan de globale tag AzureDatabricksServerless. Zie Azure Databricks regio's voor de volledige lijst met ondersteunde Azure regio's. |
| Gecentraliseerd beveiligingsbeheer | Beveiligingsbeleid beheren voor meerdere resourcetypen, waaronder opslag, sleutelkluizen en databases, binnen één NSP-profiel. |
Ondersteunde Azure-services
De AzureDatabricksServerless-servicetag wordt ondersteund voor gebruik in binnenkomende NSP-toegangsregels voor de volgende Azure services:
- Azure Storage (inclusief ADLS Gen2)
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
Requirements
- U moet een Azure Databricks-accountbeheerder zijn.
- U moet de machtiging Inzender of Eigenaar hebben voor de Azure resource die u wilt configureren.
- U moet gemachtigd zijn om perimeterbronnen voor netwerkbeveiliging te maken in uw Azure-abonnement.
- Uw Azure Databricks werkruimte en Azure resources moeten zich in dezelfde Azure regio bevinden voor optimale prestaties en om kosten voor gegevensoverdracht tussen regio's te voorkomen.
Stap 1: Maak een netwerkbeveiligingsperimeter en noteer de profiel-id
Meld u aan bij de Azure-portal.
Voer in het zoekvak bovenaan netwerkbeveiligingsperimeter in en selecteer deze in de resultaten.
Klik op en maakaan.
Voer op het tabblad Basisinformatie de volgende gegevens in:
- Subscription: selecteer uw Azure-abonnement.
- Resourcegroep: Selecteer een bestaande resourcegroep of maak er een.
-
Naam: Voer een naam in voor uw NSP (bijvoorbeeld
databricks-nsp). - Regio: Selecteer de regio voor uw NSP. De regio moet overeenkomen met uw Azure Databricks werkruimteregio en de regio van uw Azure resources.
-
Profielnaam: Voer een profielnaam in (bijvoorbeeld
databricks-profile).
Klik Controleren en maken en vervolgens Maken.
Nadat de NSP is gemaakt, gaat u naar de NSP in de Azure-portal.
Ga in de linkerzijbalk naar Instellingenprofielen>.
Maak of selecteer uw profiel (bijvoorbeeld
databricks-profile).Kopieer de resource-id voor het profiel. U hebt deze id nodig om resources programmatisch te koppelen.
Aanbeveling
Sla de profiel-id op een veilige locatie op. U moet deze beschikbaar hebben als u resources wilt koppelen met behulp van de Azure CLI of API in plaats van de Azure-portal.
Stap 2: Uw resource koppelen aan NSP in de overgangsmodus
U moet elke Azure resource die u wilt openen vanuit Azure Databricks serverloze berekening koppelen aan uw NSP-profiel. In dit voorbeeld ziet u hoe u een Azure Storage-account koppelt, maar dezelfde stappen gelden voor andere Azure resources.
- Ga naar uw netwerkbeveiligingsperimeter in de Azure-portal.
- Ga in de linkerzijbalk naar Resources onder Instellingen.
- Klik op + Toevoegen>Koppel resources aan een bestaand profiel.
- Selecteer het profiel dat u in stap 1 hebt gemaakt (bijvoorbeeld
databricks-profile). - Klik op Koppelen.
- Filter in het resourceselectiepaneel op resourcetype. Als u bijvoorbeeld een Azure Data Lake Storage Gen2-account wilt koppelen, filtert u op
Microsoft.Storage/storageAccounts. - Selecteer uw resource(s) in de lijst.
- Klik onder aan het deelvenster op Koppelen .
Overgangsmodus controleren:
- Ga in de NSP naar Instellingen>Bronnen (of Gekoppelde bronnen).
- Zoek uw opslagaccount in de lijst.
- Controleer of in de kolom ToegangsmodusOvergang wordt weergegeven. Overgang is de standaardmodus.
Opmerking
De overgangsmodus evalueert eerst NSP-regels. Als er geen NSP-regel overeenkomt met de binnenkomende aanvraag, valt het systeem terug op de bestaande firewallregels van de resource. Met de overgangsmodus kunt u uw NSP-configuratie testen zonder bestaande verkeerspatronen te verstoren.
Step 3: Een regel voor binnenkomende toegang toevoegen voor Azure Databricks serverloze compute
U moet een regel voor binnenkomende toegang maken in uw NSP-profiel om verkeer van Azure Databricks serverloze berekening naar uw Azure resources toe te staan.
- Ga naar uw netwerkbeveiligingsperimeter in de Azure-portal.
- Ga in de linkerzijbalk naar Instellingenprofielen>.
- Selecteer uw profiel (bijvoorbeeld
databricks-profile). - Klik onder Instellingen op Regels voor binnenkomende toegang.
- Klik op + Toevoegen.
- Configureer de regel:
-
Regelnaam: Voer een beschrijvende naam in (bijvoorbeeld
allow-databricks-serverless). - Brontype: selecteer servicetag.
-
Toegestane bronnen: Selecteer AzureDatabricksServerless.[ your_workspace_region] (bijvoorbeeld
AzureDatabricksServerless.EastUS2). Als u een regionale tag gebruikt, beperkt u de toegang tot Azure Databricks IP-adressen in de regio van uw werkruimte, waardoor de blootstelling wordt verminderd ten opzichte van de globale tag.
-
Regelnaam: Voer een beschrijvende naam in (bijvoorbeeld
- Klik op Toevoegen.
Aanbeveling
Databricks raadt aan om een regionale servicetag (AzureDatabricksServerless.[your_workspace_region]) te gebruiken voor een strakkere beveiliging. Als u toegang wilt toestaan vanuit alle Azure Databricks regio's, bijvoorbeeld wanneer werkruimten meerdere regio's omvatten, gebruikt u in plaats daarvan de globale tag AzureDatabricksServerless. Beide tags worden automatisch bijgewerkt, dus u hoeft geen IP-adressen handmatig te beheren of regels bij te werken wanneer Azure Databricks nieuwe IP-bereiken toevoegt.
Stap 4: De configuratie controleren
Nadat u uw NSP hebt geconfigureerd, controleert u of Azure Databricks serverloze compute toegang heeft tot uw Azure resource en NSP-activiteit kan controleren.
Toegang testen vanaf serverloze compute
Ga naar uw Azure resource in de Azure-portal.
Ga naar Beveiliging en netwerken>.
Controleer of de resource een koppeling met uw netwerkbeveiligingsperimeter weergeeft.
Controleer of de status de overgangsmodus weergeeft.
Bekijk de regels voor inkomend verkeer die zijn gekoppeld aan uw profiel om te bevestigen dat de
AzureDatabricksServerlessregel wordt vermeld (regionaal of globaal).Voer in uw Azure Databricks werkruimte een testquery uit om te bevestigen dat serverloze compute toegang heeft tot uw resource. Als u bijvoorbeeld de toegang tot een ADLS Gen2-opslagaccount wilt testen:
SELECT * FROM delta.`abfss://container@storageaccount.dfs.core.windows.net/path/to/data` LIMIT 10;Als de query slaagt, werkt uw NSP-configuratie correct.
NSP-activiteit bewaken
Verbindingen monitoren die door NSP-regels zijn toegestaan of geweigerd:
- Ga naar uw Azure resource in de Azure-portal.
- Ga naar Monitoring>Diagnostische instellingen.
- Klik Diagnostische instelling toevoegen.
- Selecteer de logboekcategorieën die u wilt bewaken. Voor Azure Storage-accounts selecteert u:
- StorageRead
- StorageWrite
- Selecteer een bestemming:
- Log Analytics werkruimte (aanbevolen voor het uitvoeren van query's en analyses)
- Opslagaccount (voor langetermijnarchivering)
- Event Hub (voor streaming naar externe systemen)
- Klik op Opslaan.
Aanbeveling
Diagnostische logboeken tonen verbindingspogingen die overeenkomen met NSP-regels in vergelijking met resourcefirewallregels. Met deze logboeken kunt u uw configuratie valideren voordat u naar de afgedwongen modus gaat. In de overgangsmodus geven de logboeken aan of elke aanvraag is toegestaan door een NSP-regel of is teruggevallen naar de resourcefirewall.
Inzicht in NSP-toegangsmodi
NSP ondersteunt twee toegangsmodi: overgangsmodus en afgedwongen modus. Azure Databricks raadt de overgangsmodus voor onbepaalde tijd aan voor de meeste gebruiksscenario's.
Overgangsmodus (aanbevolen):
- Evalueert eerst de NSP-regels en valt vervolgens terug op de resource firewallregels als er geen NSP-regel overeenkomt.
- Hiermee kunt u NSP naast bestaande netwerkconfiguraties gebruiken
- Compatibel met service-eindpunten, klassieke rekenconfiguraties en patronen voor openbaar netwerkverkeer
Afgedwongen modus (niet aanbevolen voor de meeste klanten):
- Hiermee worden firewallregels voor resources omzeild, waardoor al het verkeer dat niet overeenkomt met een NSP-regel, wordt geblokkeerd. De afgedwongen modus is niet alleen van invloed op Azure Databricks, maar ook op andere services die u hebt toegestaan via uw resourcefirewall. Deze services moeten zijn toegevoegd aan NSP om door te gaan met werken.
- Blijf in de overgangsmodus als u service-eindpunten gebruikt om vanuit Azure Databricks werkruimten verbinding te maken met opslag.
Waarschuwing
Blijf in de overgangsmodus om de compatibiliteit met uw bestaande netwerkinstallatie te behouden en profiteer van vereenvoudigd regelbeheer. Zie beperkingen voor netwerkbeveiligingsperimeter.
Volgende stappen
- Privé-eindpunten configureren: Voor privéconnectiviteit met Azure-resources zonder openbare eindpunten, zie Privéconnectiviteit met Azure-resources configureren.
- Netwerkbeleid beheren: implementeer netwerkbeleid om aanvullende beveiligingscontroles en toegangsbeperkingen te bieden voor uw serverloze rekenomgevingen. Zie Wat is serverloos egressbeheer?.
- Meer informatie over kosten voor gegevensoverdracht: meer informatie over de kosten voor het verplaatsen van gegevens naar en uit serverloze omgevingen. Zie Inzicht in de serverloze netwerkkosten van Databricks.